云應(yīng)用程序安全性（又名云應(yīng)用程序安全性）是一個政策、流程和控制系統(tǒng)，使企業(yè)能夠保護協(xié)作云環(huán)境中的應(yīng)用程序和數(shù)據(jù)。云解決方案在現(xiàn)代企業(yè)中無處不在。因此，云安全現(xiàn)在是優(yōu)化企業(yè)安全態(tài)勢的前沿和中心。我們對 650 多名網(wǎng)絡(luò)安全專業(yè)人士的調(diào)查證實了這一事實，表明94% 的人對云安全有中度或極度關(guān)注。在這里，我們將仔細研究云原生應(yīng)用程序安全性、現(xiàn)代企業(yè)面臨的常見威脅，以及有助于降低風險和改善云安全狀況的最佳實踐和工具。

云應(yīng)用安全的需求

現(xiàn)代企業(yè)工作負載分布在各種云平臺上，從 Google Workspaces 和 Microsoft 365 等 SaaS 產(chǎn)品套件到跨多個超大規(guī)模云服務(wù)提供商運行的 自定義云原生應(yīng)用程序。

因此，網(wǎng)絡(luò)邊界比以往任何時候都更加動態(tài)，關(guān)鍵數(shù)據(jù)和工作負載面臨十年前根本不存在的威脅。企業(yè)必須能夠確保工作負載在任何地方運行都受到保護。此外，云計算給數(shù)據(jù)主權(quán)和數(shù)據(jù)治理增加了新的障礙，使合規(guī)性變得復(fù)雜。

個別云服務(wù)提供商通常為其平臺提供安全解決方案，但在多云成為常態(tài)的世界中——Gartner 的一項調(diào)查表明超過80% 的公共云用戶使用多個提供商——可以端到端保護企業(yè)的解決方案需要跨所有平臺。

云應(yīng)用安全威脅

• 帳戶劫持：弱密碼和數(shù)據(jù)泄露通常會導致合法帳戶遭到破壞。如果攻擊者破壞了帳戶，他們可以獲得對敏感數(shù)據(jù)的訪問權(quán)限并完全控制云資產(chǎn)。
• 憑據(jù)暴露：帳戶劫持的必然結(jié)果是憑據(jù)暴露。正如 SolarWinds 安全漏洞所證明的那樣，在云中（在本例中為 GitHub）公開憑據(jù)可能導致帳戶劫持和各種復(fù)雜的長期攻擊。
• 機器人程序和自動攻擊：機器人程序和惡意掃描程序是將任何服務(wù)暴露于 Internet 的不幸現(xiàn)實。因此，任何云服務(wù)或面向 Web 的應(yīng)用程序都必須考慮到自動攻擊帶來的威脅。
• 不安全的 API：API 是現(xiàn)代云環(huán)境中最常見的內(nèi)部和外部數(shù)據(jù)共享機制之一。但是，由于 API 通常具有豐富的功能和豐富的數(shù)據(jù)，因此它們是黑客的熱門攻擊面。
• 過度共享數(shù)據(jù)：云數(shù)據(jù)存儲使得使用 URL 共享數(shù)據(jù)變得微不足道。這極大地簡化了企業(yè)協(xié)作。但是，它也增加了資產(chǎn)被未經(jīng)授權(quán)或惡意用戶訪問的可能性。
• DoS 攻擊：針對大型企業(yè)的拒絕服務(wù) (DoS) 攻擊長期以來一直是網(wǎng)絡(luò)安全威脅。由于有如此多的現(xiàn)代組織依賴公共云服務(wù)，針對云服務(wù)提供商的攻擊現(xiàn)在可以產(chǎn)生指數(shù)級的影響。
• 配置錯誤：數(shù)據(jù)泄露的最常見原因之一是配置錯誤。云中錯誤配置的頻率在很大程度上是由于配置管理（導致手動流程脫節(jié)）和跨云提供商的訪問控制所涉及的復(fù)雜性。
• 網(wǎng)絡(luò)釣魚和社會工程：利用企業(yè)安全的人為因素的網(wǎng)絡(luò)釣魚和社會工程攻擊是最常被利用的攻擊媒介之一。
• 復(fù)雜性和缺乏可見性：由于許多企業(yè)環(huán)境是多云的，配置管理的復(fù)雜性、跨平臺的精細監(jiān)控和訪問控制通常會導致涉及手動配置和限制可見性的脫節(jié)工作流，這進一步加劇了云安全挑戰(zhàn)。

云應(yīng)用程序安全解決方案的類型

旨在幫助企業(yè)減輕云應(yīng)用程序安全威脅的安全解決方案并不缺乏。例如，云訪問安全代理(CASB) 充當云服務(wù)的看門人并執(zhí)行精細的安全策略。同樣，Web 應(yīng)用程序防火墻 (WAF) 和運行時應(yīng)用程序自我保護 (RASP)可保護 Web 應(yīng)用程序、API 和單個應(yīng)用程序。

此外，許多企業(yè)繼續(xù)利用單點設(shè)備來實施防火墻、IPS/IDS、URL 過濾和威脅檢測。然而，這些解決方案對于現(xiàn)代云原生基礎(chǔ)設(shè)施來說并不理想，因為它們本質(zhì)上不靈活并且與特定位置相關(guān)聯(lián)。

Web 應(yīng)用程序和 API 保護 (WAAP)已成為一種更全面的云原生解決方案，它在整體多云平臺中結(jié)合并增強了 WAF、RASP 和傳統(tǒng)單點解決方案的功能。借助 WAAP，企業(yè)可以以傳統(tǒng)工具無法做到的方式自動化和擴展現(xiàn)代應(yīng)用程序安全性。

云應(yīng)用安全最佳實踐

企業(yè)必須采取整體方法來改善其云安全狀況。沒有一種適用于所有組織的通用方法，但是有幾種所有企業(yè)都可以應(yīng)用的云應(yīng)用程序安全最佳實踐。以下是企業(yè)應(yīng)考慮的一些最重要的云應(yīng)用程序安全最佳實踐：

• 利用 MFA ：多因素身份驗證 (MFA) 是限制帳戶泄露風險的最有效機制之一。
• 考慮到人為因素：用戶錯誤是數(shù)據(jù)泄露的最常見原因之一。采用雙管齊下的用戶教育方法和實施 URL 過濾器、反惡意軟件和智能防火墻等安全工具可以顯著降低社會工程導致災(zāi)難性安全問題的風險。
• 自動化一切：企業(yè)應(yīng)盡可能自動化云應(yīng)用程序監(jiān)控、事件響應(yīng)和配置。手動工作流很容易出錯，并且是導致疏忽或數(shù)據(jù)泄露的常見原因。
• 實施最小權(quán)限原則：用戶帳戶和應(yīng)用程序應(yīng)配置為僅訪問其業(yè)務(wù)功能所需的資產(chǎn)。安全策略應(yīng)在所有云平臺上實施最小特權(quán)原則。利用企業(yè)身份管理解決方案和SSO（單點登錄）可以幫助企業(yè)擴展這種云應(yīng)用程序安全最佳實踐。
• 使用全面的多云解決方案：現(xiàn)代企業(yè)基礎(chǔ)設(shè)施很復(fù)雜，企業(yè)需要完整的可見性以確保跨所有平臺的強大安全態(tài)勢。這意味著選擇與給定位置（例如點設(shè)備）或云供應(yīng)商沒有內(nèi)在聯(lián)系的可見性和安全工具是必不可少的。
• 不要只依賴簽名匹配：許多威脅檢測引擎和反惡意軟件解決方案都依賴簽名匹配和基本業(yè)務(wù)邏輯來檢測惡意行為。雖然檢測已知威脅很有用，但在實踐中僅依賴于基本簽名匹配進行威脅檢測是導致誤報的一種方法，可能導致警報疲勞并不必要地減慢操作速度。此外，僅依賴簽名映射意味著企業(yè)幾乎無法防范尚無已知簽名的零日威脅。可以分析上下文行為的安全工具，例如通過使用人工智能引擎，既可以減少誤報，也可以降低零日威脅被利用的幾率。